首页 ACL IP访问控制列表配置实验

ACL IP访问控制列表配置实验

举报
开通vip

ACL IP访问控制列表配置实验IP访问控制列表配置目录:TOC\o"1-5"\h\zHYPERLINK\l"bookmark4"\o"CurrentDocument"一、IP标准访问控制列表的建立及应用1HYPERLINK\l"bookmark10"\o"CurrentDocument"第4步:▲验证测试3HYPERLINK\l"bookmark16"\o"CurrentDocument"第3步:▲验证测试6HYPERLINK\l"bookmark22"\o"CurrentDocument"二、IP【扩展访问控制列表】...

ACL IP访问控制列表配置实验
IP访问控制列 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 配置目录:TOC\o"1-5"\h\zHYPERLINK\l"bookmark4"\o"CurrentDocument"一、IP 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 访问控制列表的建立及应用1HYPERLINK\l"bookmark10"\o"CurrentDocument"第4步:▲验证测试3HYPERLINK\l"bookmark16"\o"CurrentDocument"第3步:▲验证测试6HYPERLINK\l"bookmark22"\o"CurrentDocument"二、IP【扩展访问控制列表】的建立及应用7HYPERLINK\l"bookmark38"\o"CurrentDocument"第5步:验证测试10HYPERLINK\l"bookmark40"\o"CurrentDocument"五、▲总结:12▲表示重要的IP标准访问控制列表的建立及应用工作任务你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。192.168.3.C/2enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话vty04是进入VTY端口,对VTY端口进行配置,比如说配置密码,RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0/0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfaces0/3/0RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfaces0/3/0RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB:R>enableR#configureterminalR(config)#hostnameRouterBRouterB(config)#linevty04RouterB(config-line)#loginRouterB(config-line)#password100RouterB(config-line)#exitRouterB(config)#enablepassword100RouterB(config)#interfacefastethernet0/0RouterB(config-if)#ipaddress192.168.3.1255.255.255.0RouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#interfaces0/3/1RouterB(config-if)#ipaddress192.168.12.2255.255.255.0RouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#iproute192.168.1.0255.255.255.0192.166.12.1RouterB(config)#iproute192.168.2.0255.255.255.0192.166.12.1第2步:▲在路由器RouterB上配置IP标准访问控制列表RouterB(config)#access-list1deny192.168.2.00.0.0.255RouterB(config)#access-list1permit192.168.1.00.0.0.255RouterB#showaccess-list1第3步:▲应用在路由器RouterB的Fa0/0接口输出方向上RouterB(config)#interfacefastethernet0/0RouterB(config-if)#ipaccess-group1out验证测试RouterB#showipinterfacefastethernet0/0第4步:▲验证测试在校企主机的命令提示符下Ping192.168.3.10,能Ping通。在老师办公室主机的命令提示符下Ping192.168.3.10,不能Ping通。第二:任务如图所示,,首先对交换机进行基本配置,实现三个网段可以相互访问;然后对交换机配置IP标准访问控制列表,允许192.168.1.0网段(校企财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最第1步:交换机的基本配置Switch#configureterminalSwitch(config)#hostnames3550Switch(conifg)#iproutingSwitch(conifg)#vlan10Switch(config-vlan)#exitSwitch(conifg)#vlan20Switch(config-vlan)#exitSwitch(conifg)#interfacefastethernet0/1Switch(conifg-if)#switchportmodeaccessSwitch(conifg-if)#switchportaccessvlan10Switch(conifg-if)#exitSwitch(conifg)#interfacefastethernet0/6Switch(conifg-if)#switchportmodeaccessSwitch(conifg-if)#switchportaccessvlan20Switch(config-vlan)#exitSwitch(conifg)#interfacefastethernet0/20Switch(conifg-if)#switchportmodeaccessSwitch(conifg-if)#switchportaccessvlan30Switch(config-vlan)#exitSwitch(conifg)#Switch(config)#interfacevlan10Switch(conifg-if)#ipaddress192.168.1.1255.255.255.0Switch(conifg-if)#noshutdownSwitch(conifg-if)#exitSwitch(config)#interfacevlan20Switch(conifg-if)#ipaddress192.168.2.1255.255.255.0Switch(conifg-if)#noshutdownSwitch(conifg-if)#exitSwitch(config)#interfacevlan30Switch(conifg-if)#ipaddress192.168.3.1255.255.255.0Switch(conifg-if)#noshutdownSwitch(conifg-if)#endSwitch#查看三层交换机的路由表Switch#showiproute第2步:▲配置命名IP标准访问控制列表Switch(config)#ipaccess-liststandardABC^xitenczcmfigu.ra.ticrnacirnnand.s9oneperline-Snd.hCHTL/E-吕ui七czh.(config)tipaacesa-1is七2fiKt&rLdedEntendedAcesasLiatstandardSt:andardAccessLiat5witcii(config)tipaccesa-list1Suitchjco-nfig^access—Liststandard◎<1—99>Standard.ITacczess-listamribeE科ORDA^Geaa-lis-t口曰皿SKltcht匚6口£丄0>#1尹accsss-liststandsid|既可以列表好,也可以直接名字就可以了Switch(config-std-nacl)#deny192.168.2.00.0.0.255Switch(config-std-nacl)#permit192.168.1.00.0.0.255Switch(config-std-nacl)#exitSwitch(config)#interfacevlan30Switch(config-if)#ipaccess-groupABCout验证测试Switch#showipinterfacevlan30第3步:▲验证测试在PC1主机的命令提示符下Ping192.168.3.10,能Ping通。CaniniandPromptPinging132.Iff8_3_3-pith3Zbytesof且且taztiinj@=Oiiiatimje=OKistime=OinsiReipies七txinedout.Replyfrom192.168.3.3:Replyfrom192.168.3.3:Reply=Ecm132.1S8.3.3;111^127111=1Z7TTL=127Pingstatisticsfar192,1G8.3.3:Packet:a:Sent=4pRacaive-d=3FLust匸口iiEid.t^riptimesinmilli-sieacinda;^□.dinnmn=OmsrKajilmum=OzrisfAverage=0msPhysicalConfigDesktopSoftware/Servic&s在PC2主机的命令提示符下Ping192.168.3.10,不能Ping通。€P二PhysicalGonfigDesktopSoftwa「e/Ser/iu&sCommandPromptPacketTracer左匚匚cmnandLine1.0POp-ing192.1£0_2.3Fingin^19Z.1€S_3.3with3ZbyUiesqzlata:^eply=rcm192.1£S.1.1:^estinatinn匕二二七■=-^^iahle.^leplv=r=m192.1^8.Z.1:Das*□.nationboatune&a.dha&l=.Replyzrzin192.lc8.Z.1:Da^tinaticriboatunEaa.cihetjla.rieply^esei.Z.1;□esrlr^tianhf-at口口匸匕已血亠七j.w.Ping-statiatica=cr192.IGS.3.3:二、IP【扩展访问控制列表】的建立及应用工作任务你是学校网络管理员,学校的网管中心分别架设FTP、Web服务器,其中FTP服务器供教师专用,学生不可使用;Web服务器教师和学生都可访问。FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段,三个网段之间通过路由器进行信息传递,要求你对路由器进行适当设置实现网络数据流量控制。首先对两路由器进行基本配置,实现三个网段相互访问;然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表,不允许192.168.1.0网段(学生宿舍)主机发出的去192.168.3.0网段的FTP数据包通过,允许192.168.1.0网段主机发出的其它服务数据包通过,最后将这一策略加到路由器RouterA的Fa0端口,如图所示。学生宿舍PC1192.168.12.0/24Fa2'2.1;Fa1■'12.11.10Fa112.2PC22.10JJ3.10lFa03.13.111h•网管中心'192.168.3.0/24FTP:WEB根据相应的图画出拓扑图:第1步:基本配置路由器RouterA:R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0/0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfaces0/3/0RouterA(config-if)#ipaddress192.168.12.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet0/1RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2路由器RouterB:R>enableR#configureterminalR(config)#hostnameRouterBRouterB(config)#linevty04RouterB(config-line)#loginRouterB(config-line)#password100RouterB(config-line)#exitRouterB(config)#enablepassword100RouterB(config)#interfacef0/0RouterB(config-if)#ipaddress192.168.3.1255.255.255.0RouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#interfaces0/1RouterB(config-if)#ipaddress192.168.12.2255.255.255.0RouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#iproute192.168.1.0255.255.255.0192.166.12.1RouterB(config)#iproute192.168.2.0255.255.255.0192.166.12.1第2步:▲在路由器RouterA上配置IP扩展访问控制列表▲拒绝来自192.168.1・0网段去192.168・3・0网段的FTP流量通过RouterA(config)#access-list101denyTCP192.168.1.00.0.0.255192.168.3.00.0.0.255eqFTPao-uter(config)#access-list101denytcp192.1S8.1.Da.0_0.355192.1S8-30_0.0255色q2<0-65S35>pop3amtptelnetFileTranaferProta-col(21)PostOfficeProtocolv3(110JSingleMailTranapQrtProtocol{25)Telnet(Z3)w™-WorldWideWeb(HTTP,30)▲还可以控制某一些端口的出入允许其它服务的流量通过RouterA(config)#access-list101permitIPanyany验证测试RouterA#showaccess-list101第3步:把访问控制列表应用在路由器RouterA的Fa0/0接口输入方向上。RouterA(config)#interfacefastethernet0/0RouterA(config-if)#ipaccess-group101in第4步:分别配置FTP和Web服务器FTP服务器Web服务器第5步:验证测试在PC1主机的命令提示符下Ping192.168.3.10,能Ping通。但是发送FTP包就不能通,如下图:SimiilLat1onFan已1Ef匕口tLiS~tVis.Time-fsec)LastDe-viceAtDeviceT,0.012..FT0,013FTP(老师专用)SwitchO/FT0.014Switch0RjouterE/FT0,015RojterBRsuterArFT0.016RouterAU心FT五、▲总结:本次实验难度不大,主要小心一下端口的配置,还有一些IP访问的规则就行了。WEB服务器配置时,要自己去定义发送FTP数据包,这样才能测试到结果。RouterA(config)#linevty04VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,linevty04是进入VTY端口,对VTY端口进行配置,比如说配置密码RouterB(config)#interfacefastethernet0/0RouterB(config-if)#ipaccess-group1out列表1所定义的条件应用到从本路由器禁止从此接口出去RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100配置进入路由器配置需要密码:]R匚u匸吕匚启口Passwo-r-d:PaHswo-r-d:Paaaira-rd:Rem七总rBt而且不显示的▲易发生错误的是:交换机要启动路由 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 Switch(conifg)#iproutingRouterA(config)#access-list101denyTCP192.168.1.00.0.0.255192.168.3.00.0.0.255eqFTP▲把访问控制列表应用在路由器RouterA的Fa0/0接口输入方向上。RouterA(config)#interfacefastethernet0/0RouterA(config-if)#ipaccess-group101in▲in和out都是对端口而言的。in表示进站,从外到内的进入端口的数据方向。一般是接收。【进入端口的数据方向】out表示出站,从内到外离开端口的数据方向。一般是发送。【离开端口的数据方向】
本文档为【ACL IP访问控制列表配置实验】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
个人认证用户
lizheng
暂无简介~
格式:doc
大小:467KB
软件:Word
页数:12
分类:建筑/施工
上传时间:2022-09-14
浏览量:1